2023智能油庫工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)方案

智能油庫工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)方案2023目錄TOC\o"1-3"\h\u28027一、方案概述 495641.方案背景 4154552.方案簡介 526403.方案目標(biāo) 515037（1）安全區(qū)域不清晰，缺少邊界防護(hù)措施 68488（2）缺少終端安全防護(hù) 629566（3）缺少安全審計(jì)和分析 626027（4）缺少統(tǒng)一的安全管理平臺 69672二、方案實(shí)施概況 8273811.方案總體規(guī)劃 828303（1）方案設(shè)計(jì)原則 832592（2）總體安全防護(hù)設(shè)計(jì) 1031632（3）分域安全防護(hù)設(shè)計(jì) 11142612.實(shí)施內(nèi)容 1231564（1）體系建設(shè) 1226722（2）安全技術(shù)實(shí)施內(nèi)容 1322977（3）安全管理方案 206122三、下一步實(shí)施計(jì)劃 23229301.數(shù)據(jù)采集方案設(shè)計(jì) 2415445（1）多元異構(gòu)日志采集 243404（2）全流量數(shù)據(jù)采集 2613447（3）資產(chǎn)信息探測采集 272405（4）漏洞信息探測采集 27247182.詳細(xì)功能設(shè)計(jì) 2831095（1）工業(yè)數(shù)據(jù)采集處理 2813442（2）分布式存儲 293903（3）全文檢索 3017369（4）威脅潛伏檢測 3124134（5）工業(yè)安全實(shí)時分析 324674（6）工業(yè)場景實(shí)體行為分析 3310426（7）資產(chǎn)管理 3422910（8）安全監(jiān)測 372142（9）安全分析 437973（10）安全運(yùn)營 4731686四、方案創(chuàng)新點(diǎn)和實(shí)施效果 4885651.方案先進(jìn)性及創(chuàng)新點(diǎn) 4825189（1）采用運(yùn)行拓?fù)?topology)的strom架構(gòu) 487057（2）基于機(jī)器學(xué)習(xí)算法的異常行為檢測創(chuàng)新 491607（3）面向生產(chǎn)控制網(wǎng)絡(luò)專有協(xié)議的深度數(shù)據(jù)包解析技術(shù) 509447（4）基于智能機(jī)器學(xué)習(xí)的威脅感知技術(shù) 502159（5）基于SOAR的場景推理適度阻斷技術(shù) 50196022.實(shí)施效果 5127940（1）劃分安全域 5122767（2）部署工控信息安全產(chǎn)品 5212217（3）加強(qiáng)應(yīng)用及數(shù)據(jù)的檢測審計(jì) 525316（4）建立主動防護(hù)機(jī)制 5216794（5）建立油庫安全管理平臺 527843（6）核心系統(tǒng)的安全防護(hù) 5313978（7）數(shù)據(jù)采集與共享 53一、方案概述本方案的是結(jié)合智能油庫的網(wǎng)絡(luò)安全現(xiàn)狀，確定油庫企業(yè)的安全建設(shè)318全面提升油氣集輸行業(yè)的網(wǎng)絡(luò)安全保護(hù)及整網(wǎng)安全能力，并建立一個完善的信息安全預(yù)防、監(jiān)測、防御和響應(yīng)的縱深防御的安全體系。方案背景80%都需要依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動化作業(yè)，由此可見工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。隨著我國工業(yè)由傳統(tǒng)產(chǎn)業(yè)向網(wǎng)絡(luò)化、數(shù)字化和智能化的逐步轉(zhuǎn)型升級絡(luò)安全上升到了法律的層面。國標(biāo)《網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）2.0標(biāo)準(zhǔn)增加了工業(yè)控制系統(tǒng)擴(kuò)展要求。在等級保護(hù)的基礎(chǔ)上又頒布了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例，對關(guān)鍵基礎(chǔ)設(shè)施的+安全統(tǒng)的安全防護(hù)能力提供了指南和依據(jù)，通知要求工控系統(tǒng)管理部門和信息展工控系統(tǒng)邊界隔離防護(hù)和內(nèi)外部安全加固，提高工控網(wǎng)絡(luò)態(tài)勢感知和事件追溯能力。方案簡介成品油油庫是銷售公司石油供應(yīng)鏈中至關(guān)重要的一個環(huán)節(jié)，而工控系統(tǒng)作為油庫的核心系統(tǒng)，其安全與生產(chǎn)安全直接關(guān)聯(lián)。隨著油庫的信息化建設(shè)和改造，工業(yè)化與信息化的結(jié)合日益緊密，油庫工控系統(tǒng)安全環(huán)境也從單機(jī)走向互聯(lián)，從封閉走向開放，從物理隔離的工業(yè)以太網(wǎng)走向開放的工業(yè)互聯(lián)網(wǎng)。油庫工控系統(tǒng)正面臨著嚴(yán)峻的信息安全威脅，其尚未完善的網(wǎng)絡(luò)安防體系給油庫的工控系統(tǒng)運(yùn)行環(huán)境帶來了巨大的安全隱患，因此急需設(shè)計(jì)一套集安全防護(hù)、安全運(yùn)營、安全集成與一體的綜合性全生命周期的解決方案、加強(qiáng)油庫工控系統(tǒng)安全建設(shè)，為油庫的安全生產(chǎn)提供網(wǎng)絡(luò)安全基礎(chǔ)。安全等多方面安全因素，任何一個方面的安全隱患都會給整個工業(yè)控制系工控安全相關(guān)法律條例中對信息安全技術(shù)和工控系統(tǒng)信息安全等方面做出2021對油庫下一步信息化建設(shè)提出了指導(dǎo)意見和具體措施。在工業(yè)控制系統(tǒng)的方案目標(biāo)目前銷售企業(yè)油庫整體智能化水平較低，大多數(shù)油庫僅具備基本的信息安全防護(hù)條件，仍難以滿足油庫信息化建設(shè)對工控系統(tǒng)安全的要求，主要存在以下的問題：安全區(qū)域不清晰，缺少邊界防護(hù)措施IT網(wǎng)毒及惡意程序，同時也可能導(dǎo)致工業(yè)控制系統(tǒng)內(nèi)不同安全域之間的邊界防護(hù)機(jī)制失效。缺少終端安全防護(hù)缺少安全審計(jì)和分析數(shù)據(jù)庫的訪問人員缺乏統(tǒng)一賬號管理，缺乏數(shù)據(jù)訪問隔離措施及數(shù)據(jù)操作審計(jì)，缺乏對數(shù)據(jù)庫信息的收集、審計(jì)和分析等能力。缺少統(tǒng)一的安全管理平臺油庫缺乏對第三方運(yùn)維機(jī)構(gòu)的管控和統(tǒng)一安全運(yùn)維管理，無法將各安安全狀態(tài)感知及可視化的展示方式。本方案的建設(shè)目標(biāo)是結(jié)合智能油庫的網(wǎng)絡(luò)安全現(xiàn)狀，確定油庫企業(yè)的（GB/T22239-2019）和318號文等政策要求，加強(qiáng)“監(jiān)測預(yù)警系統(tǒng)”、“終端安全查殺能在技術(shù)方面，圍繞“一個中心三重防護(hù)”策略構(gòu)建基礎(chǔ)防護(hù)：通過安全區(qū)域邊界防護(hù)，實(shí)現(xiàn)油庫工控系統(tǒng)網(wǎng)絡(luò)與非工控網(wǎng)絡(luò)的安全隔離，保護(hù)工控系統(tǒng)網(wǎng)絡(luò)安全；通過安全通訊網(wǎng)絡(luò)的搭建，保障油庫工控系統(tǒng)的通信基礎(chǔ)網(wǎng)絡(luò)安全可靠；時對油庫工控系統(tǒng)威脅狀態(tài)進(jìn)行實(shí)時監(jiān)控，對整個油庫工業(yè)控制網(wǎng)絡(luò)安全威脅集中管控和展示。二、方案實(shí)施概況1.方案總體規(guī)劃方案設(shè)計(jì)原則等級保護(hù)是國家信息安全建設(shè)的重要政策，其核心是對信息系統(tǒng)分等適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，在進(jìn)行工控安全等級保護(hù)規(guī)劃適度安全也是等級保護(hù)建設(shè)的初衷，因此在進(jìn)行等級保護(hù)設(shè)計(jì)的過程技術(shù)管理并重原則工控安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為工控安全問題的全部是片面的，僅僅通過部署安全產(chǎn)品很難完全分區(qū)分域建設(shè)原則對信息系統(tǒng)進(jìn)行安全保護(hù)的有效方法就是分區(qū)分域，由于信息系統(tǒng)中旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件，可通過嚴(yán)格的邊界安全防護(hù)限制事件在整網(wǎng)蔓延；標(biāo)準(zhǔn)性原則安全保護(hù)體系應(yīng)當(dāng)同時考慮與其他標(biāo)準(zhǔn)的符合性，在方案中的技術(shù)部分將參考《GB/T25070-2010工控安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技GB/T22239-2008工控安全技術(shù)27001安全管理指南，使建成后的等級保護(hù)體系更具有廣泛的實(shí)用性；動態(tài)調(diào)整原則成熟性原則總體安全防護(hù)設(shè)計(jì)上將按照區(qū)域邊界保護(hù)思路進(jìn)行，智能油庫控制系統(tǒng)和外部系統(tǒng)從結(jié)構(gòu)上構(gòu)建縱深的防御體系：智能油庫工業(yè)互聯(lián)網(wǎng)安全解決方案包括技術(shù)和對確認(rèn)的重大威脅或攻擊可進(jìn)行安全聯(lián)動防護(hù)，充分考慮各種技術(shù)的組合分域安全防護(hù)設(shè)計(jì)域內(nèi)可進(jìn)一步被劃分為安全子域，安全子域也可繼續(xù)依次細(xì)化為次級安全系統(tǒng)功能和應(yīng)用相似性原則：安全區(qū)域的劃分要以服務(wù)智能油庫業(yè)務(wù)系統(tǒng)應(yīng)用為基本原則，根據(jù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。內(nèi)的信息資產(chǎn)應(yīng)具有相似的機(jī)密性要求、完整性要求和可用性要求。威脅相似性原則：同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)處在相似的風(fēng)險環(huán)境中，面臨相似的威脅。2.實(shí)施內(nèi)容體系建設(shè)本方案從安全管理、安全建設(shè)和安全運(yùn)營三個方面對油庫信息化安全安全管理

圖10-1總體安全方案設(shè)計(jì)架構(gòu)通過建立完善的油庫信息化安全管理制度，組建人員成立安全管理機(jī)構(gòu)，并對安全管理人員定期開展網(wǎng)絡(luò)安全培訓(xùn)以提高油庫工控安全整體管安全建設(shè)安全運(yùn)營安全技術(shù)實(shí)施內(nèi)容圖10-2 油庫信息安全建設(shè)技術(shù)架構(gòu)網(wǎng)絡(luò)安全邊界防護(hù)與區(qū)域隔離根據(jù)油庫的現(xiàn)狀進(jìn)行縱向分層、橫向分區(qū)，通過相應(yīng)的技術(shù)隔離手段，加強(qiáng)區(qū)域隔離、邊界防護(hù)，細(xì)化訪問控制策略，在辦公網(wǎng)與生產(chǎn)網(wǎng)之間、生產(chǎn)網(wǎng)內(nèi)部建立不同層級間安全防護(hù)，構(gòu)建油庫生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)。如下圖所示。圖10-3邊界防護(hù)與區(qū)域隔離域之間通過工業(yè)防火墻的不同業(yè)務(wù)口實(shí)現(xiàn)安全域之間的隔離，利用設(shè)備本身的多個業(yè)務(wù)口，防止不同安全域之間安全威脅的蔓延以及對安全域之間核心系統(tǒng)的安全防護(hù)：根據(jù)業(yè)務(wù)現(xiàn)狀，對于重要的業(yè)務(wù)系統(tǒng)（例如：付連接到網(wǎng)閘外聯(lián)口，通過網(wǎng)閘實(shí)現(xiàn)第三方網(wǎng)絡(luò)與工控網(wǎng)絡(luò)的安全隔離和信息的單向流動，可以在保障安全的情況下實(shí)現(xiàn)數(shù)據(jù)交換。入侵檢測與行為審計(jì)在辦公網(wǎng)和生產(chǎn)網(wǎng)中分別部署入侵檢測和工控安全審計(jì)系統(tǒng)，實(shí)時發(fā)現(xiàn)針對重要工業(yè)控制系統(tǒng)的攻擊和破壞行為，實(shí)時檢測針對工業(yè)協(xié)議的網(wǎng)圖10-4入侵檢測與行為審計(jì)在生產(chǎn)網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)需求把相應(yīng)業(yè)務(wù)系統(tǒng)的流量數(shù)據(jù)發(fā)送給工控安30多種(OPCSiemensS7ModbusIEC104Profinet、DNP3等（IP地址對威脅與異常檢測的審計(jì)主要分為以下五個方面：一是異常報文檢測：支持對TCP/IP、工控協(xié)議畸形報文的攻擊檢測；PLC下裝、零流量等工控關(guān)鍵事件的檢測；三是基線白名單檢測：通過機(jī)器學(xué)習(xí)等自學(xué)方式生成工控環(huán)境資產(chǎn)基線、訪問關(guān)系基線、流量基線、工控行為基線四種安全基線模型；四是自定義規(guī)則檢測：用戶可自定義對多種工控協(xié)議進(jìn)行細(xì)粒度的規(guī)則配置；終端安全在油庫的終端設(shè)備上部署終端安全防護(hù)客戶端，在省級安全管理中心圖10-5 終端安全防護(hù)對于可以安裝終端安全防護(hù)客戶端的終端設(shè)備，可以在終端防護(hù)管理對于不能安裝終端安全防護(hù)客戶端的終端設(shè)備，利用總部的準(zhǔn)入系統(tǒng)查看WindowsWinXPWin7、Win10、Win2003、Win2008、Win2012、Win2016等，inux系統(tǒng)如Centos5.0Redhat5.0+Suse11+Ubuntu14+防對抗場景的高級威脅模塊和具有勒索專防專殺能力的文件誘餌引擎；通應(yīng)用及數(shù)據(jù)安全在總部云平臺上部署數(shù)據(jù)庫審計(jì)與風(fēng)險控制系統(tǒng)，提升對數(shù)據(jù)庫的原圖10-6數(shù)據(jù)庫審計(jì)與風(fēng)險控制數(shù)據(jù)庫審計(jì)與風(fēng)險控制系統(tǒng)實(shí)時記錄運(yùn)維人員及應(yīng)用服務(wù)器對數(shù)據(jù)庫SYSLOGSNMP外，數(shù)據(jù)庫審計(jì)與風(fēng)險控制系統(tǒng)還支持的功能如下所示：加密協(xié)議審計(jì)及雙向?qū)徲?jì)：系統(tǒng)不僅支持對數(shù)據(jù)請求的報文進(jìn)行加密這樣可以防范來自內(nèi)外部的惡意攻擊，保障油庫工控系統(tǒng)數(shù)據(jù)的機(jī)密性和業(yè)務(wù)需要定制檢查閾值、自定義檢查目錄等以滿足油庫多樣化的內(nèi)部監(jiān)管要求。（）（TELNETFTP）IP操作風(fēng)險實(shí)時可知可查對數(shù)據(jù)庫的操作行為進(jìn)行實(shí)時檢測，結(jié)合預(yù)設(shè)置的風(fēng)險控制策略和對數(shù)據(jù)庫活動的實(shí)時監(jiān)控信息進(jìn)行特征檢測，所有嘗試攻擊操作將被檢測出來進(jìn)而被阻斷或告警。安全運(yùn)維與審計(jì)（網(wǎng)產(chǎn)生的日志進(jìn)行采集、行狀況并在第一時間獲知當(dāng)前發(fā)生的安全事件告警，使得等級保護(hù)滿足合規(guī)檢查。綜合日志審計(jì)系統(tǒng)部署架構(gòu)如下圖所示。圖10-7綜合日志審計(jì)系統(tǒng)部署架構(gòu)圖（簡稱堡壘機(jī)中心部署堡壘機(jī)可實(shí)現(xiàn)對企業(yè)運(yùn)維人員在運(yùn)維過程中進(jìn)行統(tǒng)一身份認(rèn)證、安全集中管理

圖10-8 堡壘機(jī)部署圖（syslog）與第三方圖10-9 工業(yè)安全管理平臺部署圖工業(yè)安全管理平臺可及時發(fā)現(xiàn)、報告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻安全管理方案通過建立完善的油庫信息化安全管理體系，組建人員成立安全管理機(jī)系統(tǒng)建設(shè)和運(yùn)維環(huán)節(jié)的規(guī)范，制定應(yīng)急響應(yīng)制度最大限度的減輕安全事件的危害和影響，并對安全管理人員定期開展網(wǎng)絡(luò)安全培訓(xùn)以提高油庫工控安全整體管理水平，實(shí)現(xiàn)油庫工控安全管理的規(guī)范化、標(biāo)準(zhǔn)化與制度化。安全管理制度安全管理制度主要包括：評審和修訂：應(yīng)定期對安全管理制度的合理性和適用性進(jìn)行論證和審定并及時修訂。安全管理機(jī)構(gòu)在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營層的管理結(jié)構(gòu)來約束和保證各項(xiàng)安全管理措施的執(zhí)行。其主要工作內(nèi)容包括對機(jī)構(gòu)內(nèi)重要的信息安全工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類單位的合作、定期對系統(tǒng)的安全措施落實(shí)情況進(jìn)行檢查，以發(fā)現(xiàn)問題進(jìn)行改進(jìn)。安全管理機(jī)構(gòu)主要包括：授權(quán)和審批：明確各部門審批事項(xiàng)部門及批準(zhǔn)人。對重要活動建立逐級審批制度，并定期審查審批事項(xiàng)，更新授權(quán)事項(xiàng)和審批方案。人員安全管理對人員安全的管理具體包括：安全意識教育和培訓(xùn)：根據(jù)崗位制定培訓(xùn)計(jì)劃，并進(jìn)行技能考核。同監(jiān)督。系統(tǒng)建設(shè)管理工控系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個階段（即，初始、采購、實(shí)施）中各項(xiàng)安全管理活動。系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括：外包軟件開發(fā)：存儲備份開發(fā)單位提供的軟件源代碼并審查軟件中可能存在的各種問題。對建設(shè)過程的各項(xiàng)活動都要求進(jìn)行制度化規(guī)范，按照制度要求進(jìn)行活動的開展。對建設(shè)前的安全方案提出體系化要求，并加強(qiáng)了對其的論證工作。系統(tǒng)運(yùn)維管理根據(jù)基本要求進(jìn)行信息系統(tǒng)日常運(yùn)行維護(hù)管理，利用管理制度以及安全管理中心進(jìn)行，主要包括：環(huán)境管理：根據(jù)資產(chǎn)的重要程度采取對應(yīng)的管理措施。三、下一步實(shí)施計(jì)劃油庫信息安全服務(wù)平臺是專注于工業(yè)環(huán)境的網(wǎng)絡(luò)安全智能分析運(yùn)營平具體功能架構(gòu)圖如下：圖10-10油庫信息安全服務(wù)平臺功能架構(gòu)圖8+1+4的架構(gòu)，即八大工業(yè)安全引擎、一個工業(yè)安全數(shù)據(jù)分析平臺和四大業(yè)務(wù)應(yīng)用模型。八大工業(yè)安全引擎主要負(fù)責(zé)采集各類工控網(wǎng)環(huán)境的安全數(shù)據(jù)，包括工業(yè)網(wǎng)絡(luò)空間測繪數(shù)工業(yè)安全數(shù)據(jù)分析平臺提供數(shù)據(jù)采集治理、威脅情報碰撞、大數(shù)據(jù)智能分析、工業(yè)威脅建模。四大業(yè)務(wù)應(yīng)用數(shù)據(jù)采集方案設(shè)計(jì)多元異構(gòu)日志采集Xen、VMWare、Hyper-V等可以通過自定義配置將用戶不關(guān)心的日志過濾掉；支持對收集到的重復(fù)的日志進(jìn)行自動的聚合歸并，減少日志量；支持將收集到的日志轉(zhuǎn)發(fā)，當(dāng)原始日志設(shè)備無法設(shè)置多個日志服務(wù)器時，可以通過本系統(tǒng)的日志轉(zhuǎn)發(fā)功能將日志轉(zhuǎn)發(fā)到其他日志存儲設(shè)備。每個數(shù)據(jù)采集引擎支持配置不同的采集策略，保證每個數(shù)據(jù)采集引擎支持分布式多節(jié)點(diǎn)部署；支持流量數(shù)據(jù)鏡像采集的方式。支持在多個機(jī)房的交換機(jī)上復(fù)制鏡DPI的方式采集，并將多余的接口關(guān)閉；支持主機(jī)終端的數(shù)據(jù)采集，支持?jǐn)?shù)據(jù)庫審計(jì)分析的數(shù)據(jù)采集；全流量數(shù)據(jù)采集（例如威脅行為分析組件根據(jù)數(shù)據(jù)包特征和流量行為對流量進(jìn)行深度解析，通過對數(shù)據(jù)流中威脅行為識別，達(dá)到惡意流量檢測的目的。WEB應(yīng)用漏洞利用及程序攻擊、惡意文件及病毒RFC遵從的請求行為以風(fēng)險級別實(shí)時呈現(xiàn)，為威脅風(fēng)險分析和管理提供依據(jù)。威脅行為識別通過以下幾個方面對威脅行為進(jìn)行識別：基于4000+條規(guī)則庫進(jìn)行特征匹配；根據(jù)資源使用狀況或者使用者訪問行為進(jìn)行識別；基于異常檢測技術(shù)識別威脅行為，例如病毒、木馬、攻擊等；通過索引實(shí)時查詢頁面告警信息。合規(guī)行為檢測通過以下多個角度對違規(guī)違法行為檢測：信息泄露：通過漏洞利用竊取用戶信息。不良信息內(nèi)容：實(shí)現(xiàn)對不適宜信息內(nèi)容檢測審計(jì)。敏感信息過濾：實(shí)現(xiàn)對身份信息、關(guān)鍵字、數(shù)據(jù)源等的自定義，實(shí)時掌握流量中的敏感信息定位，實(shí)現(xiàn)對不合規(guī)行為有效監(jiān)測。隱私權(quán)侵害：通過策略獲取信息系統(tǒng)內(nèi)部系統(tǒng)訪問權(quán)限，侵犯數(shù)據(jù)隱私。資產(chǎn)信息探測采集除了基于流量被動發(fā)現(xiàn)存貨資產(chǎn)，工業(yè)安全數(shù)據(jù)分析平臺可以與遠(yuǎn)程安全評估相結(jié)合，通過主動掃描的方式發(fā)現(xiàn)系統(tǒng)內(nèi)存在的信息資產(chǎn)。資產(chǎn)發(fā)現(xiàn)功能可對網(wǎng)絡(luò)中所有在線設(shè)備進(jìn)行自主網(wǎng)絡(luò)掃描和深入識別，獲取資產(chǎn)的網(wǎng)絡(luò)地址、系統(tǒng)網(wǎng)絡(luò)指紋、系統(tǒng)開放端口和服務(wù)指紋，并根據(jù)積累和運(yùn)營的指紋庫裁定每個資產(chǎn)的類型、操作系統(tǒng)、廠商信息等。其具體功能需要滿足以下要求：支持定時任務(wù)，用戶可自定義任務(wù)開始的日期和時間IP地址、分組、廠家、型號、操作系統(tǒng)類型等；IP系統(tǒng)需要能夠支持指紋庫的管理，并能進(jìn)行指紋的自定義；可識別、定義網(wǎng)絡(luò)中所有資產(chǎn)。漏洞信息探測采集windows、Linux、國產(chǎn)操作系統(tǒng)漏洞；內(nèi)置通用性弱口令字典，并可增加自定義字典。,以安全風(fēng)險管理為基礎(chǔ)對資產(chǎn)進(jìn)行深度遍歷。支持主流的漏洞。采用強(qiáng)大的過濾模塊，過濾掉重復(fù)或者不必要的網(wǎng)頁鏈接，提高運(yùn)行效系統(tǒng)內(nèi)置可更新的漏洞知識庫模塊，對掃描出來的漏洞提供詳細(xì)的解決方案參考。提供接口可以導(dǎo)入第三方漏洞掃描結(jié)果。詳細(xì)功能設(shè)計(jì)工業(yè)數(shù)據(jù)采集處理數(shù)據(jù)采集模塊以協(xié)議/接口采集為主，Agent收集為輔。針對不能通過Agent的方式進(jìn)行數(shù)據(jù)采集。系統(tǒng)支持的數(shù)據(jù)采集方式如下：協(xié)議/Syslog、Kafka、Ftp/Sftp、Webservice、SNMP、File、JDBC/ODBC等方式；AgentWindowsLinuxUnix等系統(tǒng)的數(shù)據(jù)收集。系統(tǒng)支持采集的數(shù)據(jù)源類型如下：組織架構(gòu)、安全域、人員、賬號等以及第三方相關(guān)數(shù)據(jù)；IPHash值等；工控網(wǎng)環(huán)境復(fù)雜，采集所得原始數(shù)據(jù)有一部分是非結(jié)構(gòu)化數(shù)據(jù)，需要將這部分非結(jié)構(gòu)化的原始日志處理轉(zhuǎn)換為結(jié)構(gòu)化數(shù)據(jù)。系統(tǒng)提供了一個鏈?zhǔn)紼TL模塊，以插件的形式實(shí)現(xiàn)各種原始日志的格式化流程。分布式存儲

圖10-11詳細(xì)功能圖分布式存儲技術(shù)能夠?qū)崿F(xiàn)結(jié)構(gòu)化及半結(jié)構(gòu)化數(shù)據(jù)的統(tǒng)一存儲，兼容傳SQL訪問模型，同時支持對海量數(shù)據(jù)的在線實(shí)時流式處理框架和離線分布式計(jì)算框架。分布式數(shù)據(jù)庫面向時序數(shù)據(jù)和小文件數(shù)據(jù)存儲進(jìn)行深度優(yōu)化，支持第三方存儲引擎和傳統(tǒng)關(guān)系型數(shù)據(jù)庫的無縫的跨庫訪問和關(guān)聯(lián)查詢，解決了多系統(tǒng)交互時對海量混合數(shù)據(jù)統(tǒng)一管控的大數(shù)據(jù)采集存儲和分析處理分層架構(gòu)、模塊化設(shè)計(jì)、多場景支持在線檢索和離線分析一體化時查詢以及高并發(fā)大數(shù)據(jù)集查詢在內(nèi)的各種訪問方式，適應(yīng)在線檢索和離線分析等不同業(yè)務(wù)場景?；旌蠑?shù)據(jù)支持Oracle、MySQL等聯(lián)合訪問。OracleMySQLjoin、union等操作?？缬?、多數(shù)據(jù)中心支持分布式數(shù)據(jù)庫在保證數(shù)據(jù)一致性的前提下支持多數(shù)據(jù)中心或多數(shù)據(jù)集分布式存儲分布式存儲技術(shù)用于系統(tǒng)架構(gòu)的大數(shù)據(jù)組件當(dāng)中，使系統(tǒng)能夠?qū)崿F(xiàn)高效的數(shù)據(jù)采集和檢索能力。主要基于通用/Server-SANI/O全文檢索全文檢索技術(shù)是態(tài)勢感知系統(tǒng)的核心基礎(chǔ)功能，其基礎(chǔ)要求是根據(jù)搜全文檢索技術(shù)采用倒排索引的結(jié)構(gòu)達(dá)到快速全文檢索的目的，倒排檢索是實(shí)現(xiàn)“單詞”-更加快速的獲取包含這個單詞的文檔列表，倒排索引主要由兩個部分組成“單詞詞典”和“倒排文件”，具體結(jié)構(gòu)如下圖：圖10-12 全文檢索技術(shù)架構(gòu)圖過查詢安全分析人員能夠?qū)崿F(xiàn)對安全事件的細(xì)致分析，并將有效數(shù)據(jù)運(yùn)用于模型建立當(dāng)中。威脅潛伏檢測（ATT&CK安全模型，通過對安全大數(shù)據(jù)中心（SDC）匯聚的網(wǎng)絡(luò)數(shù)據(jù)工業(yè)安全實(shí)時分析預(yù)置工業(yè)威脅模型ITOT1300180多種掃描探查檢測類模型、740多種滲透攻擊檢測類模型、20多種獲取權(quán)限檢測類模型、21030多種資產(chǎn)破壞類檢測模IntrusionKillChain的各個維度。自定義工業(yè)安全分析模型AI模型等。威脅情報碰撞200余家威脅情報交換數(shù)據(jù)。采用云沙箱、機(jī)器學(xué)習(xí)識別與專家分析等方式，提煉形成面向政企用戶網(wǎng)絡(luò)安全的高質(zhì)量威脅情報中心。為用戶提供如下核心情報功能：情報收集（內(nèi)部+外部各類情報源）多源情報關(guān)聯(lián)分析情報檢索驗(yàn)證與攻擊溯源情報更新維護(hù)關(guān)聯(lián)下游產(chǎn)品工業(yè)場景實(shí)體行為分析AI該系統(tǒng)亮點(diǎn)如下：快速發(fā)現(xiàn)異常用戶行為精準(zhǔn)的用戶異常行為監(jiān)測異常行為監(jiān)測的準(zhǔn)確度和靈敏度，并通過多維態(tài)勢可視化系統(tǒng)能夠?qū)崟r展現(xiàn)總體用戶行為威脅狀況。定制化用戶畫像能力由于用戶行為隨實(shí)際網(wǎng)絡(luò)環(huán)境的不同存在較大差異性，平臺支持根據(jù)用戶實(shí)際業(yè)務(wù)場景定制行為分析畫像，確保分析結(jié)果真實(shí)可靠。圖10-13定制行為分析資產(chǎn)管理資產(chǎn)管理資產(chǎn)管理模塊中各項(xiàng)資產(chǎn)的屬性值將參與到安全事件管理、脆弱性管理、風(fēng)險管理、拓?fù)湟晥D、報表系統(tǒng)等其它安全管理模塊；將安全事件與資產(chǎn)進(jìn)行綁定關(guān)聯(lián)，實(shí)現(xiàn)以資產(chǎn)視角的安全事件管理，在資產(chǎn)拓?fù)湟晥D上直接展現(xiàn)安全事件的信息，支持鉆取溯源等安全處置功能；提供根據(jù)客戶組織架構(gòu)或者網(wǎng)絡(luò)架構(gòu)進(jìn)行資產(chǎn)域/安全域劃分，方便運(yùn)維。資產(chǎn)管理的信息和維度包含如下：基本信息：資產(chǎn)IP、資產(chǎn)名稱、資產(chǎn)重要性（普通、重要），資產(chǎn)標(biāo)簽、資產(chǎn)類型C-I-完整性、A-可用性、是否等保資產(chǎn)、地理位置、描述等。操作系統(tǒng)信息：操作系統(tǒng)、OS版本、MAC地址安全設(shè)備管理全設(shè)備關(guān)聯(lián)的防護(hù)資產(chǎn)信息，管理整個網(wǎng)絡(luò)信息系統(tǒng)和業(yè)務(wù)資產(chǎn)的防護(hù)狀態(tài)和安全建設(shè)系統(tǒng)。安全設(shè)備監(jiān)控。提供包括安全設(shè)備攔截狀態(tài)和安全設(shè)備運(yùn)行狀態(tài)監(jiān)控，可跳轉(zhuǎn)投屏。區(qū)域管理區(qū)域管理模塊是根據(jù)企業(yè)網(wǎng)絡(luò)環(huán)境、組織架構(gòu)以及安全域分布實(shí)現(xiàn)資產(chǎn)/業(yè)務(wù)拓?fù)湟晥D，并能夠在資產(chǎn)視圖上將弱點(diǎn)爆發(fā)的安全事件所屬網(wǎng)絡(luò)區(qū)域或業(yè)務(wù)系統(tǒng)分組予以展示。安全域修改。安全域刪除。IPIP地址進(jìn)行配置，解決企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)地址私用等情況。業(yè)務(wù)建模實(shí)現(xiàn)以業(yè)務(wù)資產(chǎn)視角，輔助客戶以資產(chǎn)為核心的工作層面之上構(gòu)建一個面向業(yè)務(wù)部門和管理層的業(yè)務(wù)資產(chǎn)模型。該功能主要管理用戶的業(yè)務(wù)支支持資產(chǎn)的自動發(fā)現(xiàn)和從客戶現(xiàn)有的資產(chǎn)平臺同步功能，支持資產(chǎn)的用戶可以根據(jù)具體的業(yè)務(wù)流程構(gòu)建相應(yīng)的業(yè)務(wù)模型，支持業(yè)務(wù)模型的管理功能。弱點(diǎn)管理

圖10-14業(yè)務(wù)建模CMDB圖10-15弱點(diǎn)管理安全監(jiān)測態(tài)勢感知綜合態(tài)勢：綜合態(tài)勢全面采集各類工控流量和日志信息，通過內(nèi)置的大數(shù)據(jù)安全分析模型整合零散的工業(yè)安全數(shù)據(jù)，深入挖掘安全風(fēng)險與攻擊事件，可感可控工業(yè)系統(tǒng)安全，實(shí)現(xiàn)工控網(wǎng)安全態(tài)勢的全面感知。圖10-16綜合態(tài)勢圖10-16綜合態(tài)勢場站態(tài)勢：場站態(tài)勢以各場站實(shí)際網(wǎng)絡(luò)應(yīng)用場景為底圖，為用戶建立可視的場站安全態(tài)勢感知，通過繪制場站網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)洌瑯?biāo)記關(guān)鍵資產(chǎn)和業(yè)務(wù)系統(tǒng)，及時發(fā)現(xiàn)場站發(fā)生的關(guān)鍵事件，達(dá)到快速處置目的。圖10-17場站態(tài)勢業(yè)務(wù)系統(tǒng)態(tài)勢：業(yè)務(wù)系統(tǒng)態(tài)勢以業(yè)務(wù)安全感知為唯度，監(jiān)測各場站關(guān)鍵業(yè)務(wù)系統(tǒng)的在線運(yùn)行狀況，掌握各場站業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)，如各業(yè)務(wù)系統(tǒng)流量，各業(yè)務(wù)系統(tǒng)威脅排行、發(fā)生安全事件排行、趨勢等信息，及時發(fā)現(xiàn)關(guān)鍵業(yè)務(wù)系統(tǒng)的安全態(tài)勢。圖10-18業(yè)務(wù)系統(tǒng)太少異常行為態(tài)勢：異常行為態(tài)勢主要關(guān)注在場站內(nèi)發(fā)現(xiàn)的異常流量行為，圖10-19異常行為態(tài)勢橫向威脅態(tài)勢：橫向威脅感知主要關(guān)注企業(yè)內(nèi)部資產(chǎn)之間的違規(guī)操作和病毒傳播，實(shí)時監(jiān)控跨安全域的訪問行為和業(yè)務(wù)訪問情況，通過自由布環(huán)境內(nèi)部造成的破壞。圖10-19橫向威脅態(tài)勢違規(guī)行為態(tài)勢：違規(guī)行為態(tài)勢主要關(guān)注來自各場站不同安全區(qū)是否存圖10-20違規(guī)行為態(tài)勢報告，并能夠一鍵導(dǎo)出報告。圖10-21攻擊者追蹤溯源態(tài)勢資產(chǎn)威脅溯源態(tài)勢：資產(chǎn)威脅溯源可視化分析大屏，為安全運(yùn)維人員提資產(chǎn)感知風(fēng)險資產(chǎn)視圖：以資產(chǎn)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險，包括已失陷、高風(fēng)險、低風(fēng)險三種維度；根業(yè)務(wù)系統(tǒng)進(jìn)行鉆取處理事件。事件感知安全熱點(diǎn)安全熱點(diǎn)是結(jié)合用戶實(shí)際需求，將用戶關(guān)心的安全熱點(diǎn)問題進(jìn)行自定型定義安全事件后再設(shè)置成安全熱點(diǎn)。安全熱點(diǎn)可幫助用戶快速排查重點(diǎn)問題，發(fā)現(xiàn)最重要的事件，發(fā)起快速處置。圖10-22安全熱點(diǎn)安全分析威脅模型策略進(jìn)行上網(wǎng)發(fā)布也有助于知識的共享，讓各級安全管理人員合理運(yùn)用安將負(fù)責(zé)全網(wǎng)的基本網(wǎng)絡(luò)安全策略模板的制訂，并將安全策略轉(zhuǎn)換為可執(zhí)行的腳本，便于安全策略的有效執(zhí)行和快速部署。圖10-23威脅模型圖10-23威脅模型模型構(gòu)建和管理AI學(xué)習(xí)建模等安全威脅建模功能。AI追蹤溯源平臺能實(shí)現(xiàn)基于資產(chǎn)安全告警和攻擊者的追蹤溯源功能，結(jié)合先進(jìn)的大數(shù)據(jù)關(guān)聯(lián)技術(shù)能夠?qū)崿F(xiàn)對安全告警事件和攻擊者的追蹤與取證，并提供溯源報表的一鍵智能下載。圖10-24追蹤溯源IP組、攻擊引發(fā)告警類型以及類似攻擊行為手段，資產(chǎn)畫像工業(yè)資產(chǎn)畫像可以快速分析重點(diǎn)資產(chǎn)的安全防護(hù)效果與威脅情況，為資產(chǎn)風(fēng)險評估、安全加固和安全保護(hù)建設(shè)提供依據(jù)。日志檢索

圖10-25資產(chǎn)畫像時間范圍對事件及數(shù)據(jù)進(jìn)行快速檢索，快速定位到安全分析人員關(guān)注的威脅和上下文數(shù)據(jù)，并支持檢索趨勢統(tǒng)計(jì)；支持以時間軸的方式展示檢索結(jié)果，并支持時間軸鉆取和追加搜索；支持對檢索結(jié)果追加檢索，支持點(diǎn)擊檢索結(jié)果字段快速加入到檢索條件；支持對展示字段靈活定義，允許用戶選擇特定的字段顯示；支持將查詢的條件存儲為查詢模版，方便再次使用；（10000條excelCSV格式。定功能：原始日志檢索：支持選擇日志源進(jìn)行檢索；圖10-26日志檢索安全運(yùn)營通報預(yù)警為用戶提供預(yù)警和通報功能，用戶對平臺產(chǎn)生的安全告警進(jìn)行新增預(yù)警，提示平臺用戶該告警可能存在一定風(fēng)險隱患。/工單管理/處理中/已解決/安全評價安全評價實(shí)現(xiàn)對被考核對象的安全合規(guī)評價和工業(yè)網(wǎng)絡(luò)安全狀態(tài)的整